Image by Yuri Samoilov, from Flickr
Sahte Google Play Sayfaları, Android Kullanıcılarına SpyNote Zararlı Yazılımını Yayıyor
Okuma süresi: 2 dk.
Son Güncellenen Apr 15, 2025
-
![Kiara Fabbri]()
-
![Lokalizasyon ve Çeviri Ekibi]()
Çevirisi tarafından yapılmıştır Lokalizasyon ve Çeviri Ekibi Lokalizasyon ve Çeviri Hizmetleri
Yeni keşfedilen bir Android zararlı yazılım kampanyası, aldatıcı web sitelerinde Google Play Store sayfalarını taklit ederek güçlü SpyNote Uzaktan Erişim Truva Atı (RAT) dağıtıyor.
Acele mi ediyorsunuz? İşte hızlı bilgiler:
- Kötü niyetli APK indirmeleri sahte “Yükle” düğmeleri ile başlar.
- SpyNote, casusluk, veri hırsızlığı ve uzaktan cihaz kontrolünü sağlar.
- Malware, Android izinlerini kötüye kullanarak tespit ve kaldırılmasını önler.
Infosecurity‘deki güvenlik araştırmacıları, kampanyanın yeni kayıtlı alan adlarını kullanarak kullanıcıları popüler yazılımların kılığına girmiş enfekte uygulamaları indirmeye ikna ettiğini söylüyor.
Sahte sayfalar, görüntü karuselleri, “Yükle” düğmeleri ve TikTok’un Android uygulamasına atıfta bulunan kod izleri ile gerçek Google Play listelemelerine oldukça benziyor. Kullanıcılar yüklemek için tıkladığında, kötü amaçlı JavaScript otomatik olarak tuzakla dolu bir APK dosyasını indirir.
Bir kez yüklendikten sonra, APK gizli bir işlevi çalıştırır ve içinde SpyNote yükünün çekirdeğini barındıran ikinci bir APK bırakır. Bu kötü amaçlı yazılım, koduna gömülü olan hardcoded IP adreslerini kullanarak komuta ve kontrol (C2) sunucularına bağlanır, bu da uzaktan erişim ve gözetlemeyi mümkün kılar.
SpyNote, saldırganlara enfekte olmuş cihazlar üzerinde geniş kontrol yetkisi verir. Özellikleri arasında çağrıları ve SMS’leri yakalama, kişilere erişim, telefon görüşmelerini kaydetme, tuş vuruşlarını kaydetme, kamera ve mikrofonu etkinleştirme ve GPS konumunu takip etme yer alır.
Bu zararlı yazılım ayrıca diğer uygulamaları yükleyebilir, cihazları kilitleyebilir veya silebilir ve Android’in erişilebilirlik hizmetlerini kötüye kullanarak kaldırılmasını önleyebilir.
“SpyNote, tamamen kaldırılabilmesi için genellikle fabrika ayarlarına dönülmesini gerektiren ısrarcılığı ile ünlüdür,” diye uyardı DomainTools’taki araştırmacılar, kampanyayı ortaya çıkardılar, Infosecusiry tarafından bildirildiği gibi.
Malware ve teslimat altyapısındaki ipuçları, Çin ile olası bir bağlantıyı düşündürüyor. Malware, Çince kod içeriyor ve Çin merkezli dağıtım platformlarını kullanıyor.
Infosecurity, kesin bir atıf yapılmamış olmasına rağmen, SpyNote’un daha önce Hint savunma personeline karşı yürütülen casusluk kampanyaları ve APT34 ve APT-C-37 gibi ileri tehdit gruplarıyla ilişkilendirildiğini belirtiyor.
Bu keşif, son zamanlarda bankacılık uygulamalarını hedef alan ToxicPanda zararlı yazılımı da dahil olmak üzere benzer Android hedefli tehditlerin bir dalgasının ardından geldi. Güvenlik uzmanları, üçüncü taraf uygulama indirmelerinden kaçınmayı ve yalnızca güvenilir uygulama mağazalarına güvenmeyi önermektedir.
Önceki Hikâye
Son makaleler 
